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B schreibung 

Fehler in der Entwurfsphase digitaler Schaltun- 
gen sind ein Hauptgrund fur unerwartete Verzogerun- 
gen und zusatzliche Kosten. Um diese zu vermeiden, 5 
werden momentan verschiedene Simutationsverfahren 
zur Verifikation eines logischen Schaltungsentwurfs 
eingesetzt. Unglucklicherweise wachst die Zahl der zur 
Verifikation einer Schaltung oder eines datenverar- 
beitenden Systems notigen Simulationen exponenti- 10 
ell mit der Zahl der Eingange kombinatorischer 
Schaltkreise und sogar schneller fur sequentielle 
Schaltkreise, da bei diesen alle moglichen Eingangs- 
sequenzen zu simulieren sind. Obwohl solche Metho- 
den zur Simulation digitaler Schaltungen weit verbrei- 15 
tet sind und einen wichtigen Platz im Entwurfsprozefc 
solcher Schaltungen einnehmen, sind sie weitdavon 
entfernt zur vollstandigen Uberprufung und Verifika- 
tion von Schaltungen geeignet zu sein, weshalb die 
Richtigkeit einer Schaltung, d.h. die Ubereinstim- 20 
mung zwischen ihrer tatsachlichen Implementierung 
und ihrer Entwurfsspezifikation nicht garantiert wer- 
den kann. Aus diesem Grunde sind formale Verif ika- 
tionsmethoden jeder Art von Simulation vorzuziehen, 
da diese im Prinzip die vollstandige Richtigkeit einer 25 
Schaltung beweisen konnen. 

Spezifikationen von kombinatorischen odersyn- 
chronen sequentiellen Schaltungen werden haufig in 
Form sog. Hardware-Beschreibungssprachen (hard- 
ware description languages, HDL) formuliert. In sol- 30- 
chen Fallen bedeutet die formale Verifikation den 
Vergleich einer digitalen Schaltung, wie sie z.B. in 
Form einer Netzliste gegeben ist mit ihrer Spezifika- 
tion in Form einer Beschreibung mit den Methoden ei- 
ner Hardware-Beschreibungssprache. Aus der Litera- 35 
tur (Erik Tiden, Richard Schmid, 'Verifying ASICs bei 
symbolic simulation", in EURO ASIC 90,-1990) sind -for- 
male Schaltkreisverifikationswerkzeuge bekannt, de- 
ren Anwendbarkeit aber auf kombinatorische Schalt- 
kreise beschrankt ist. Die formale Verifikation sequen- 40 
tieller Digitalschaltungen ist wesentlich schwieriger, 
und es sind nur wenige Ansatze zu einer Losung des 
Problems der Verifikation digitaler Schaltungen mit 
einer grofien Zahl von Zustanden bekannt. 

Die Erfindung betrifft ein Verfahren zur Verif ika- 45 
tion datenverarbeitender Systeme, insbesondere di- 
gitaler Schaltungen, welche auf der symbolischen 
Darstellung boolescher Funktionen mit Hilfe binarer 
Entscheidungsdiagramme basiert. Der Erfindung 
liegt die Aufgabe zugrunde, ein Verfahren zur Verif i- so 
kation datenverarbeitender Systeme, insbesondere 
digitaler Schaltungen anzugeben, welches in der La- 
ge ist, nicht nur kombinatorische, sondern auch se- 
quentielle Systeme grolier Komplexitat zu verif izie- 
ren und damit die Probleme der zum Stand der Tech- 55 
nik bekannten Verfahren zu uberwinden. Diese Auf- 
gabe wird mit Hilfe eines Verfahrens zur Verifikation 
datenverarbeitender Systeme, insbesondere digitaler 



Schaltungen, mit Merkmalen nach Anspruch 1 gelost. 

Dieses Verfahren basiert ebenfalls wie das aus 
dem Stand der Technik bekannte Verfahren auf dem 
Vergleich zweier unabhangig voneinander erstellter 
formaler Beschreibunoen eines zu verifizierenden 
Systems, z.B. der mit Hilfe einer Hardware-Beschrei- 
bungssprache formulierten Systemspezifikation und 
der z.B. in Form einer Netzliste vorliegenden Schal- 
tungsimplementierung. Das erf indungsgemafle Ver- 
fahren bedient sich einer speziellen Darstellung boo- 
lescher Funktionen mit Hilfe binarer Entscheidungs- 
diagramme. Diese spezielle und vorteilhafte Darstel- 
lung boolescher Funktionen ermoglicht die Durchf uh- 
rung des Vergleichs beider Systembeschreibungen 
mit Hilfe einer Fixpunktiteration, mit deren Hilfe nicht 
aquivalente Zustande der beiden Systembeschrei- 
bungen aufgefunden werden. Dazu werden die bei- 
den miteinander zu vergleichenden Systembeschrei- 
bungen als Mealy-Automaten modelliert. Mit Hilfe ei- 
ner Fixpunkt-lteration wird die Menge der nicht- 
aquivalenten Zustande der beiden Mealy-Automaten 
in Form binarer Entscheidungsdiagramme darge- 
stellt. Zur Durchf iihrung der Fixpunktiteration werden 
die Ausgangsund Obergangsfunktionen der beiden 
Mealy-Automaten ebenfalls durch binare Entschei- 
dungsdiagramme dargestellt. 

Die erfindungsgemafte Form der Darstellung 
durch binare Entscheidungsdiagramme bewirkt eine 
auRerst effiziente Speicherung der Datenstrukturen 
des Verfahrens und ermoglicht eine Beschrankung 
der zur Durchfuhrung des Verfahrens notwendig n 
Operationen auf einfache Substitutionen und Boole- 
sche Operationen auf binaren Entscheidungsdia- 
grammen. Hierdurch wird das Verfahren f ur technisch 
interessierende Systeme uberhaupt erst praktisch 
anwendbar. 

Das erf indungsgemalie Verfahren kann auf da- 
tenverarbeitende Systeme verschiedener Art, wie 
z.B. auf digitale Schaltungen, Kommunikationsproto- 
kolle, Computerprogramme und Mikroprogramme zu 
deren Verifikation angewendet werden. Jedes tech- 
nische System, welches als Mealy-Automat model- 
liert werden kann, kann mit Hilfe des Verfahrens ve- 
rif iziert werden. 

Vorteilhafte Weiterbildungen der Erfindung erge- 
ben sich aus den Unteranspruchen. 

Figur 1 zeigt ein Ablaufdiagramm des Verfahrens. 

Im folgenden wird die Erfindung arihand eines 
speziellen Ausfuhrungsbeispiels naher beschrieben. 
Aus Grunden der besseren Verstandlichkeit werden 
die wichtigsten grundlegenden hierzu benotigten Be- 
griffe am Anfang erlautert. Im ubrigen sind die hier 
verwendeten Begriffe und Bezeichnungsweisen dem 
Fachmann auf diesem Gebiet gelaufig und konnen 
z.B. in den Veroffentlichungen von W. Brauer, "Auto- 
matentheorie", B.G. Teubner, 1964 oder Z. Kohavi, 
"Switching and Finite Automata Theory", McGraw-Hill 
Book Edition, 1978, entnommen werden. 
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Bei synchronen sequentiellen Digitalschaltungen 
werden alle Elemente mit internen Zustanden, wie 
z.B. Flip-Flops, Latches, Register und speichernde 
Elemente mit Hilfe eines globalen Clocksignals 
getriggert, sodali alle Elemente ihren Zustand simul- 5 
tan bei einem Clocksignal-Ubergang andern. Der 
neue Zustand einer synchronen sequentiellen Digital- 
schaltung hangt dabei ausschliefilich von ihrem mo- 
mentanen Zustand und den Werten der Eingangssi- 
gnale ab. Damit hangen auch die Ausgangssignale 10 
der Digitalschattung nur von den Eingangssignalen 
und dem internen Zustand dieser Schaltung ab. Aus 
diesem Grunde kann das Verhalten einer synchronen 
sequentiellen Digitalschaltung durch das Modell des 
endlichen Automaten (finite state machine), genauer 15 
als Mealy-Automat modelliert werden (Z.Kohavi, 
1978, W.Brauer, 1984). Sowohl die Spezifikation ei- 
ner synchronen sequentiellen Digitalschaltung als 
auch ihre Implementierung kann daher als Mealy- 
Automat aufgefafit werden. Dabei wird die Implemen- 20 
tierung einer solchen Digitalschaltung haufig in Form 
einer sog. Netzliste vorliegen. Die Spezifikation kann 
vorteilhaft mit Hilfe einer Ubergangstabelleoder einer 
geeigneten Hardware-Beschreibungssprache ge- 
schehen. Eine synchrone seauentielle Digitalschal- 25 
tung zu verifizieren bedeutet, eine Implementierung 
dieser Schaltung mit ihrer Spezifikation zu verglei- 
chen. Wegen der Modellierbarkeit beider Beschrei- 
bungen durch Mealy-Automaten lafit sich dieses Pro- 
blem auf den Vergleich zweier unterschiedlich be- 30 
schriebener Mealy-Automaten reduzieren. Die fol- 
genden Definitionen endiicher deterministischer 
Mealy-Automaten und der Aquivalenz zwischen zwei 
Mealy-Automaten sind in der Automatentheorie (Z- 
.Kohavi, 1978; W.Brauer, 1984) iiblich. Der besseren 35 
Verstandlichkeit halber werden diese Definitionen 
hier kurz zusammengestellt. 

Ein endiicher deterministischer Mealy-Automat 
ist durch die Angabe eines Alphabetes von Eingangs- 
grd&en, einer endlichen Menge von Zustanden, eines 40 
Alphabetes von Ausgangsgrofcen, einer Ausgangs- 
funktion, welche jedem Wert der Eingangsgrolien 
und der Zustande einen Wert der Ausgangsgrofien 
zuordnet, einer Ubergangsfunktion, welche jedem 
Eingangswert und Zustand einen Zustand zuordnet, 45 
sowie eines anfanglichen Zustandes gegeben. 

Ein deterministischer Mealy-Automat def iniert ei- 
ne partielle Abbildung, welche jedem Wort aus Ele- 
menten des Alphabets von Eingangsgrofien ein Wort 
aus Elementen des Alphabets der AusgangsgrdRen so 
zuordnet. Wird dem Automaten eine Folge von Ein- 
gangsgrofien eingegeben, so wird dieser Folge eine 
Folge von AusgangsgroRen zugeordnet, wobei zu- 
nachst aus den Eingangsgrossen mit Hilfe der Uber- 
gangsfunktion neue Zustandsgrdften und daraufhin 55 
aus den Zustand sgrofien und den EingangsgrdfJen 
mit Hilfe der Ausgangsfunktion die neuen Ausgangs- 
grofien berechnet werden. Betrachtet man d n Auto- 



maten von aufien, so sind diese Zuordnungen das 
einzige was uber sein Verhalten beobachtet werden 
kann und es ist deshalb naturlich, zwei deterministi- 
sche Mealy Automaten als aquivalent anzusehen, 
wenn sie ein ubereinstimmendes Eingangs- und Aus- 
gangsalphabet haben und wenn ihre oben beschrie- 
benen Zuordnungen aquivalent sind. Die Abbildunc 
wird dabei ais partiell bezeichnet, weil im allgemeinen 
die Ubergangsfunktion und die Ausgangsfunktion nur 
partiell definierte Funktionen sind. Indem diese Funk- 
tionen vervollstandigt werden, was z.B. in Z.Kohavi, 
1978 beschrieben ist, kann das Problem des Ver- 
gleichs zweier unvollstandig beschriebener Automa- 
ten auf einen Vergleich zweier vollstandig beschrie- 
bener Automaten zuruckgefiihrt werden. Im folgen- 
den wird deshalb angnommen, dafi die Ausgangs- 
und Ubergangsfunktion vollstandig definierte Funk- 
tionen sind, und es wird deshalb lediglich das Pro- 
blem des Vergleichs zweier vollstandiger determini- 
stischer Mealy-Automaten betrachtet. 

Zwei Zustande zweier deterministischer Mealy- 
Automaten mit ubereinstimmenden Eingangs- und 
Ausgangsaiphabeten hei&en aquivalent genau dann, 
falls 

a) die Werte ihrer Ausgangsfunktionen fur diese 



beiden Zustande bei jeweils gleichen Eingangs- r - 
signalen ubereinstimmen und ^ 
b) fur alle Werte der Eingangssignale, die sich Q 
aus ihren Ubergangsfunktionen aus diesen Zu- 
standen ergebenden Zustande bei jeweils glei- _ > 

chen Eingangssignalen aquivalent sind. >< 
Zwei deterministische Mealy-Automaten mit glei- 
chen Eingangs- und Ausgangsaiphabeten heilien 
aquivalent dann und nur dann, wenn ihre Anfangszu- > ^ 



stande aquivalent sind. 

Ein Standardverfahren zur Uberprufung der 
Aquivalenz zweier Mealy-Automaten wird in dem Auf- 
satz von Z.Kohavi 1 978 beschrieben: Hierzu def iniert 
man zu zwei Mealy-Automaten mit identischen Ein- 
gangs- und Ausgangsaiphabeten den Produktauto- 
maten, indem man als Eingangsalphabet des Pro- 
duktautomaten das den beiden urspriinglichen 
Mealy-Automaten zugrundeliegende gemeinsame 
Eingangsalphabet verwendet, die Menge der Zustan- 
de des Produktautomaten gleich dem kartesischen 
Produkt der Zustandsmenge der Ausgangsautoma- 
ten wahlt, das Ausgangsalphabet des Produktauto- 
maten aus den beiden booleschen Werten "wahr" 
bzw. "falsch" bestehen lafit, der Ausgangsfunktion 
des Produktautomaten den Wert "wahr" zuweist, falls 
die Ausgangsfunktionen der ursprunglichen Automa- 
ten ubereinstimmen, der Ausgangsfunktion des Pro- 
duktautomaten den Wert "falsch" zuweist, falls die 
Ausgangsfunktionen der ursprunglichen Automaten 
nicht ubereinstimmen, und der Obergangsfunktion 
des Produktautomaten die aus den Werten der Uber- 
gangsfunktionen der ursprunolichen Automaten ge- 
bildeten Zweitupel zuweist. Mit Hilfe dieser Definition 
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konnen die beiden Definitionen uber die Aquivalenz 
zweier Zustande zweier deterministischer Mealy- 
Automaten sowie die Definition uber die Aquivalenz 
von MealyAutomaten wie folgt formuliert werden: 
Die Aquivalenzrelation zwischen Zustanden zweier 5 
deterministischer Mealy-Automaten ist die groftte Re- 
lation auf dem kartesischen Produkt der beiden Zu- 
standsraume zweier Meafy-Automaten mitderfolgen- 
den Eigenschaft: 

Ein Element des Produkt-Zustandsraums gehort zur 10 
Relation dann und nur dann, falls fur alle Eingangs- 
werte gilt: 

Die Ausgangsfunktion des Produktautomaten nimmt 
fur dieses Element des Produktzustandsraums den 
Wert "wahr" an und das Bild der Obergangsfunktion 15 
gehort ebenfalls zur Relation. Zwei deterministische 
mealy-Automaten heifien dann aquivalent dann und 
nur dann, falls samtliche aus den Anfangszustanden 
dieser beiden Automaten gebildeten Zustande des 
Produktzustandsraums zu dieser Aquivalenzrelation 20 
gehoren. 

Die bekannten Verfahren (O.Coudert, Ch. 
Berthet, J.Ch. Madre, "Verification of sequential 
machines using boolean functional vectors", in IMEC- 
IFIP International Workshop on Applied Formal 25 
Methods For Correct VLSI Design, 1989; S.Devadas, 
Hi-Keung Tony Ma, R. Newton, "On the verification of 
sequential machines at differing levels of abstrac- 
tion", IEEE-Transactions on Computer-Aided Design, 
7(6): 713-722, 1988; K.J.Supovit, S.J. Friedman, "A 30 
new method for verifying sequential circuits, in 23rd 
ACM/IEEE Design Automation Conference, 1 986) zur 
Oberprufung der Aquivalenz zweier synchroner se- 
quentieller Schaltkreise (Mealy-Automaten) gehen 
von einem Anfangszustand des Produktautomaten 35 
aus, und suchen nach einem Ubergang bei dem die 
Ausgangsfunktion des Produktautomaten den Wert 
fafsch annimmt, wodurch ein Unterschied im Aus- 
gangsverhalten der beiden ursprunglichen Maschi- 
nen signalisiert wird. Falls kein solcher Ubergang ge- 40 
funden wird, nachdem der gesamte erreichbare Zu- 
standsraum der Produktmaschine abgearbeitet wor- 
den ist, ist die Aquivalenz der ursprunglchen Mealy- 
Automaten und damit der zu vergleichenden synchro- 
nen sequentiellen Schaltungen bewiesen. 45 

Die explizite Konstruktion des Zustandsdia- 
gramms (K.H.Supovit, S.J.Friedman 1986) des Pro- 
duktautomaten ist ein sehr speicherverzehrender 
Vorgang und kommt daher nur zur Verif i kation mit Au- 
tomaten mit nur sehr wenigen Zustanden, wie sie z.B. 50 
zu Kontrollschaltungen gehoren, in Betracht. Andere 
Verfahren (O.Coudert, et al, 1989) untersuchen den 
Produktautomaten ohne sein Zustandsdiagramm ex- 
plizitzu konstruieren. Die Untersuchungdes Produkt- 
automaten beginnt mit einem Anfangszustand des 55 
Produktautomaten und bei jedem neuen Zustand wird 
uberpriift, ob kein Ubergang den Ausgang falsch er- 
zeugt, wodurch ein unterschiedliches Verhalten der 



ursprunglichen Automaten angezeigt wiirde. Bei ei- 
ner derartigen Untersuchung des Produktautomaten 
bieten sich grundsatzlich zwei verschiedene 
Stratetgien zur Buchf uhrung uber alte erzeugten Zu- 
stande an: 

Die erste Strategie kann als depth-first Strategie be- 
zeichnet werden (S.Devadas, et, 1988). Diese Stra- 
tegie hat den Nachteil, dafcihre Komplexitat linear mit 
der Zahl der erreichbaren Zustande wachst. Aus die- 
sem Grunde konnen mit HiJfe dieser Strategie nur Au- 
tomaten mit einer sehr kleinen Zahl von Zustanden 
(z.B. 2764 in dem Beispiel in dem Aufsatz von S.De- 
vadas, et al, 1988) verglichen werden. Die zweite 
mogliche Strategie kann als breadth-first Strategie 
bezeichnet werden (O.Coudert, et al, 1989). Bei die- 
ser Strategie werden in einem Schritt mehrere Zu- 
stande anstelle nur eines Zustandes, wie bie der 
depth-first Strategie behandelt, so dafi diese Strate- 
gie von einer eff izienten Darstellung von Mengen mit 
Hilfe binarer Entscheidungsdiagramme profitieren 
kann (R.E.Bryant, "Graph-based algorithmus for 
boolean function manipulation", IEEE Transactions 
Computer, C-35 (12): 1035-1044, 1986). DieVorzuge 
dieses Verfahrens sind mit Hilfe von Beispielen de- 
monstriert worden, bei denen Automaten mit bis zu 22 
Mill. Zustanden verifiziert worden sind. Trotzdem 
wachst die Komplexitat einer breadth-first Untersu- 
chung linear mit der Lange des langsten Zyklus im er- 
reichbaren Teil der Produktmaschine, und deshalb 
kann eine recht grofie Klasse interessanter Automa- 
ten, wie z.B. Zahler, nicht mit Hilfe eines solchen Ver- 
fahrens verglichen werden. Ein anderes Problem des 
Verfahrens von Coudert et al besteht darin, dali zu 
der Durchfuhrung dieses Verfahrens zwischen ver- 
schiedenen Darstellungen gewechselt werden mufi 
und dali der Wechsel zwischen diesen Darstellungen 
Operationen mit exponentieller Komplexitat erfor- 
dert. 

Urn die Probleme, welche mit der Abarbeitung 
des erreichbaren Zustandsraumes eines Produktau- 
tomaten und der adaquaten Darstellung von 
Mealyautomaten einhergehen, zu uberwinden, wird 
ein anderes Verfahren verwendet. Aus der Definition 
der Aquivalenz zweier Zustande bzw. der Aquivalenz 
zweier Mealyautomaten geht hervor, dad fur den Fall, 
daB zwei nicht aquivalente Zustande existieren es ei- 
ne endliche Eingangssequenz geben muli, fur welche 
sich die zugehorigen Ausgangssequenzen der beiden 
Mealyautomaten unterscheiden. Es wird daher ange- 
nommen, dafl in den meisten praktisch interessieren- 
den Fallen eine recht kurze Eingangssequenz exi- 
stiert, welche diese Eigenschaft hat, da, wenn zwei 
Zustande nicht aquivalent sind, dies nach einer kur- 
zen Zeit bei Verwendung einer geeigneten Eingangs- 
sequenz am Ausgang beobachtbar sein sollte. Anstel- 
le also den gesamten erreichbaren Zustandsraum zu 
erzeugen und die Aquivalenz aller Zustande zu uber- 
prufen, wie dies bei den Verfahren aus der Literatur 
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geschieht, wird bei dem erfindungsgemafien Verfah- 
ren die gesamte Relation der nicht aquivalenten Zu- 
stande, d.h. das Komplement der Menge der aquiva- 
lenten Zustande auf dem Produktraum der Zustande 
berechnet. Die Berechnung wird mittels einer Fix- 5 
punkt-lteration durchgef uhrt, in der nur einfache Ope- 
rationen auf binaren Entscheidungsdiagrammen be- 
notigt werden. 

Zur Durchf uhrung dieser Iteration betrachtet man 
als Ausgangspunkt die Menge aller Zustandspaare, 10 
d.h. die Menge aller Zustande des Produktautomaten 
der zu uberpriifenden Mealy-Automaten, welche un- 
terschiedliche Ausgangswerte fur mindestens ein 
Eingangsmuster haben. Diese Ausgangsmenge wird 
nun schrittweise urn diejenigen Zustandspaare er- 15 
weitert, fur welche gilt, dafi von ihnen aus unter An- 
wendung der Ubergangsfunktionen der zu verif izie- 
renden Mealyautomaten bzw. der Ubergangsfunktion 
des Produktautomaten die Zustandspaare der Ur- 
sprungsmenge in endlich vielen Schritten unter An- 20 
nahme geeigneter Eingangsmuster erreicht werden 
konnen. Diese Iteration endet, falls die dabei er- 
zeugte Menge von Zustandspaaren sich nicht 
mehr andert, falls also etn Fixpunkt erreicht wird. 
Es ist klar aus der Definition der Aquivalenz von 25 
Mealyautomaten, dafi diese Fixpunktmenge die 
Menge aller nicht aquivalenten Zustande ist. 

Es handeltsich also um alle nicht aquivalenten Zu- 
standspaare der zu vergleichenden Mealyautomaten. 
Diese sind nun Equivalent, falls ihre Anfangszu- 30 
stande Equivalent sind. Es bleibt also iedigiich zu 
prufen, ob die Anfangszustande der zu vergleichen- 
den Mealyautomaten bzw. die aus diesen Zustanden 
gebildeten Zustandspaare Elemente der erzeugten 
Fixpunktmenge sind Oder nicht. Dieses Verfahren hat 35 
den Vorteil, dafi in alien praktisch untersuchten Fallen 
die Fixpunktmenge bereits nach sehr wenigen Schrit- 
ten konstruiert ist. Daneben hat dieses Verfahren den 
Vorteil, dafi alle zur Konstruktion der Fixpunktmenge 
notigen Operationen sehr effizient mit Hilfe binarer 40 
Entscheidungsdiagramme realisiert werden konnen. 
Diese werden in dem Aufsatz von Bryant 1 986 detail- 
liert beschrieben (R.E. Bryant, "Graph based algorith- 
mus for boolean function manipulation", IEEE Trans. 
Computer, C-35 (12): 1035-1044, 1986). 45 

Bei synchronen sequentiellen Digitalschaltun- 
gen sind die Zustande und Eingangs- bzw. Aus- 
gangssignale der diese Schaltkreise modellierenden 
Mealyautomaten boolesche Vektoren und die Aus- 
gangs- und Ubergangsfunktionen sind als vektorwer- 50 
tige boolesche Funktionen def iniert, deren Argumen- 
te boolesche Vektoren sind. Zur Darstellung solcher 
booleschen Funktionen und der Operationen auf ih- 
nen wurden von Bryant (R.E.Bryant 1 986) die binaren 
Entscheidungsdiagramme (BODS) eingefiihrt. Bina- 55 
re Entscheidungsdiagramme haben vorteilhafte Ei- 
genschaften nur fur bestimmte Klassen boolescher 
Funktionen, da die Grofie eines binaren Entschei- 



dungsdiagramms, welches eine boolesche Funktion 
darstellt, schlimmstenfalls eine exponentiell wach- 
sende Funktion der Zahl der Argumente dieser boo- 
leschen Funktion ist. Andererseits haben empirische 
Untersuchungen ergeben, dafi boolesche Funktio- 
nen, welche durch kombinatorische oder sequentielle 
Digitalschaltungen realisiert werden, kompakte Dar- 
steliungen durch binare Entscheidungsdiagramme 
haben und dafi binare Entscheidungsdiagramme vor- 
teilhaft zur Darstellung sequentieller Digitalschaltun- 
gen eingesetzt werden konnen. 

In dem oben beschriebenen Fixpunktiterations- 
verfahren zur Erzeugung der Relation der nicht aqui- 
valenten Zustande zweier Mealyautomaten wird eine 
Methode zur Darstellung der Mengen, welche im Lau- 
fe des Fixpunktiterationsverfahrens erzeugt werden 
benotigt. Diese Mengen sind Relationen uber dem 
kartesischen Produkt der Zustandsraume beider 
Mealyautomaten, d.h. Teilmengen eines binaren Ein- 
heitswurfels entsprechender Dimensionen. Jede 
Teilmenge U eines k-dimensionalen binaren Wurfels 
kann durch ihre charakteristische Funktion beschrie- 
ben werden, welche jedem Punkt des binaren Wur- 
fels, welcher zugleich Element der Menge U ist, den 
Wert 1 zuordnet und alien anderen Elementen des 
Wurfels den Wert 0. Dabei entspricht die charakteri- 
stische Funktion einer Durchschnittsmenge zweier 
Mengen der UND-Verknupfung beider charakteristi- 
schen Funktionen dieser Mengen, die charakteristi- 
sche Funktion einer Vereinigungsmenge der ODER- 
Verknupfung und die charakteristische Funktion ei- 
ner Differenzbildung der UND-Verknupfung der cha- 
rakteristischen Funktionen der Ausgangsmenge mit 
der charakteristischen Funktion des Komplements 
der subtrahierten Menge. In dem Aufsatz von J.R- 
.Burch, et al, "Sequential circuit verification using 
symbolic model checking", in ACM/IEEE Desgin Au- 
tomation Conference, 1990, wird anstelle der Uber- 
gangsfunktion die entsprechende Ubergangsrelation 
zur Modellierung einer synchronen sequentiellen Di- 
gitalschaltung verwendet. Diese Ubergangsrelation 
wird mit Hilfe eines binaren Entscheidungsdia- 
gramms der charakteristischen Funktion dieser Uber- 
gangsrelation dargestellt. Empirische Untersuchun- 
gen haben gezeigt, dafi die Darstellung synchroner 
sequentieller Digitalschaltungen und kombinatori- 
scher Digitalschaltungen mit Hilfe funktionaler Vekto- 
ren binarer Entscheidungsdiagramme Vorteile ge- 
genuber einer Darstellung in Form von charakteristi- 
schen Funktionen hat, da sie offenbar in der Lage ist, 
Schaltkreise hoherer Komplexitat darzustellen. 

Auf der Basis der Darstellung von Mealyautomaten 
und Relationen mit Hilfe von booleschen Funktionen 
und damit durch binare Entscheidungsdiagramme 
wird nun die Realisierung des Fixpunktiterations ver- 
fahrens zur Berechnung der Relation der nicht aqui- 
valenten Zustande zweier Mealyautomaten beschrie- 
ben. D r erste Schritt zur Vorbereitung der Fixpunkt- 
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iteration besteht in der Berechnung der Ausgangsre- 
lation MO, zu welcher alle Zustandspaare, welche 
aus zwei Zustanden der beiden Mealyautomaten ge- 
bildet sind, gehoren, fur welche gilt, dafi mindestens 
ein Eingangssignal existiert, fur welches die Ausgangs- 5 
f unktionen der beiden Mealyautomaten fur die beiden 
Zustande verschiedene Werte annehmen. Sind die Aus- 
gangsfunktionen der beiden Mealyautomaten als Vek- 
toren binarer Entscheidungsdiagramme gegeben, 
kann die charakteristische Funktion der Ausgangsre- 10 
lation einfach berechnet werden. 

Dazu werden aus den Vekforen von binaren Ent- 
scheidungsdiagrammen fur die Ausgangsfunktionen 
fur jeden einzelnen Ausgang die zugehorigen binaren 
Entscheidungsdiagramme "EXOR" verknupft. Fur je- 15 
den Ausgang wird also ein binares Entscheidungsdia- 
gramm berechnet, welches fur genau die Zustands- 
paare und Eingangssignale den Wert "wahr" liefert f ur 
die dieser Ausgang in beiden Mealyautomaten einen 
unterschiedlichen Wert liefert. Auf jedes dieser bina- 20 
ren Entscheidungsdiagramme wird anschlie&end ein 
Existenzoperator bezuglich der Eingange ange- 
wandt. Ein so berechnetes binares Entscheidungs- 
diagramm gibt genau fur die Paare von Zustanden 
den Wert "wahr", fur welche mindestens ein Eingabe- 25 
signal existiert, so dad das ursprungliche binare Ent- 
scheidungsdiagramm den Wert "wahr" liefert, also 
der Ausgang einen unterschiedlichen Wert liefert. Der 
Existenzoperator auf einem binaren Entscheidungs- 
diagramm bezuglich einer Menge von Eingangen 30 
kann sukzessive durch den Existenzoperator bezug- 
lich eines einzelnen Eingangs berechnet werden. Da- 
zu wird auf das ursprungliche binare Entscheidungs- 
diagramm der Existenzoperator bezuglich des ersten 
Eingangs berechnet. Auf das entstandene binare 35 
Entscheidungsdiagramm wird der Existenzoperator 
bezuglich des zweiten Eingangs-berechnet. Dieses 
Verfahren wird bis zum letzten Eingang fortgesetzt. 
Zur Berechnung eines Existenzoperators bezuglich 
eines Eingangs wird in dem binaren Entscheidungs- 40 
diagramm der Eingang durch "wahr" bzw. "falsch" 
substituiert und die beiden entstehenden binaren 
Entscheidungsdiagramme werden "ODER" ver- 
knupft. Der Existenzoperator ist also auf einfache 
Substitution und "ODER"-Verknupfung zuruckfuhr- 45 
bar. Nach Anwendung des Existenzoperators werden 
die furdie einzelnen Ausgange entstandenen binaren 
Entscheidungsdiagramme noch alle "ODER" ver- 
knupft und das Ergebnis ist ein binares Entschei- 
dungsdiagramm, welches die charakteristische Funk- 50 
tion fur MO darstellt. Eine explizite Berechnung der 
Zwischenergebnisse ist nicht unbedingt erforderlich, 
sondern die gesamte oben beschriebene Berech- 
nung von MO aus den Vektoren von binaren Entschei- 
dungsdiagrammen fur die Ausgangsfunktionen kann 55 
auch zu einem einzigen Schritt verschmolzen wer- 
den. 

Die Ausgangsrelation MO ist der Ausgangspunkt 



der Fixpunktiteration, welche aus der Ausgangsrela- 
tion weitere Relationen berechnet. 

Wahrend des Ablaufs des Iterationsverfahrens 
wird die charakteristische Funktion der zwischen- 
durch auftretenden Relationen M(i) aus den vorher- 
gehenden charakteristischen Funktionen durch fol- 
gende Schritte berechnet: 

In dem binaren Entscheidungsdiagramm der 
charakteristischen Funktion fur M(i) werden die Zu- 
stande durch die binaren Entscheidungsdiagramme 
ihrer Zustandsubergangsfunktionen ersetzt. Dies 
entspricht der Substitution von Variablen in binaren 
Entscheidungsdiagrammen durch binare Entsch i- 
dungsdiagramme. Das berechnete binare Entschei- 
dungsdiagramm gibt fur jedes Paar von Zustanden 
und jedes Eingabesignal genau dann den Wert 
"wahr", wenn die Nachfolgezustande der betrachte- 
ten Zustande unter der Wirkung der Obergangsfunk- 
tion der Mealy-Automaten die Eigenschaft haben, 
da& die charakteristische Funktion der Relation M(i) 
dieses Iterationsschrittes den Wert "wahr" besitzt. 
Auf das berechnete binare Entscheidungsdiagramm 
wird der Existenzoperator bezuglich der Eingangssi- 
gnale angewandt und das Ergebnis mit dem binaren 
Entscheidungsdiagramm der charakteristischen 
Funktion der Relation M(i) "ODER" verknupft. Die Re- 
lation M(i) wird also um genau die Paare von Zustan- 
den erweitert, fur welche mindestens ein Eingabesi- 
gnal existiert, so dall die Nachfolgezustande in der 
Relation M(i) enthalten sind. Zur Durchfuhrung des 
Iterationsschrittes sind also lediglich Einsetzung, d.h. 
Substitution, und "ODER'-Verknupfung auf binaren 
Entscheidungsdiagrammen erforderlich, da der Exi- 
stenzoperator wie vorherbeschrieben auf Substition 
und "ODER'-Verknupfung zuruckgefuhrt werden 
kann. Eine explizite Berechnung der Zwischenergeb- 
nisse ist nicht unbedingt erforderlich, sondern die ge- 
samte oben beschriebene Berechnung kann zu einer 
einzigen Operation verschmolzen werden. 

Im Effekt sind diese Operationen gleichwertig zu 
einer Vereinigung von Teilmengen des Produktzu- 
standsraumes, bei der die Menge M(i), welche die Re- 
lation dieses Iterationsschrittes reprasentiert, mit der 
Menge der Vorganger-Zustandspaare unter der Wir- 
kung der Ubergangsfunktionen der zu vergleichen- 
den Mealy Automaten vereinigt wird, um die Menge 
M(i+I) zu erhalten, welche die Relation des nachfol- 
genden Iterationsschrittes reprasentiert. 

Das Iterationsverfahren bricht ab, wenn ein Itera- 
tionsschritt zu keiner Veranderung der Relation f u hrt. 
Um dies festzustellen, ist ein einfacher Vergleich 
zweier aufeinanderfolgender binarer Entscheidungs- 
diagramme, welche die charakteristischen Funktio- 
nen der Relationen darstellen, erforderlich. 

Die zu vergleichenden Mealy-Automaten sind 
dann aquivalent, wenn ihre Anfangszustande nicht 
zur Relation M der nichtaquivalenten Zustande geho- 
ren. 
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Die Kombination der Darstellung von 
Mealyautomaten mit Hiife von Vektoren von Funktio- 
nen, d.h. binarer Entscheidungsdiagramme, und der 
Darstellung von Mengen durch ihre charakteristi- 
schen Funktionen kann mit Hilfe - der obigen 5 
Substitionen einfach und elegant ausgefuhrt werden. 
Das Verfahren von Coudert et al (O.Coudert 1989) 
benotigt eine explizite Uberfuhrung der beiden Dar- 
stellungen ineinander, obwohl damit Operationen von 
exponentieller Komplexitat verbunden sind. Das Ite- w 
rationsverfahren kommt zum Stillstand, falls die er- 
zeugten Mengen bzw. Relationen zwischen zwei 
Iterationschritten identisch sind. Diese Identitat wird 
durch Auswertung der binaren Entscheidungsdia- 
gramme der charakteristischen Funktionen, welche 15 
diese Mengen reprasentieren durchgefuhrt. 

Damit ist die Realisierung des gesamten Fix- 
punktverfahrens auf der Grundlage binarer Entschei- 
dungsdiagramme beschrieben. Die einzigen Opera- 
tionen auf binaren Entscheidungsdiagrammen, wel- 20 
che innerhalb der Fixpunktiteration benotigt werden, 
sind die booleschen Funktionen "ODER" bzw. "un- 
gleich" und die Ersetzung (Substitution) von Varia- 
blen boolescher Funktionen bzw. von Entschei- 
dungsdiagrammen. 25 



Patentanspruche 

1. Verfahren zur Verifikation datenverarbeitender 30 
Systeme, bei dem 

a) zwei unabhangig voneinander erstellte Be- 
schreibungen eines zu verifizierenden Sy- 
stems als Mealy-Automaten reprasentiert und 
miteinander verglichen werden; 35 

b) der Vergleich mit Hilfe eines Fixpunktitera- 
tionsverfahrens durchgefuhrt wird, welches 
zunachst die Menge MO aller Zustandspaare 
erzeugt, welche fur mindestens einen Satz 

von Eingangswerten mindestens einen ver- 40 
schiedenen Ausgangswert erzeugen, und 
diese Menge MO um die Menge ailer Zu- 
standspaare, welche in endlich vielen Schrit- 
ten der beiden Mealy-Automaten auf ein Zu- 
standspaar f Ohren, das der Menge MO ange- 45 
hort, iterativ erweitert bis die Fixpunktmenge 
M aller nicht aquivalenten Zustandspaare er- 
zeugt ist, wobei die beiden Mealy-Automaten 
Equivalent sind, wenn ihre Anfangszustande 
bzw. die aus diesen Zustanden gebildeten Zu- so 
standspaare der Fixpunktmenge M nicht an- 
gehoren; 

c) Aquivalenzrelationen zwischen Zustanden, 
Ausgangs- und Ubergangsfunktionen der bei- 
den Mealy-Automaten durch binare Entschei- 55 
dungsdiagramme dargestellt werden; und 

d) in jedem Schritt der Fixpunktiteration ledig- 
lich boolesche Operationen und Substitutio- 



nen auf binare Entscheidungsdiagramme an- 
gewendet werden. 

2. Verfahren nach Anspruch 1, 

bei dem die datenverarbeitenden Systeme digita- 
le Schaltungen sind. 

3. Verfahren nach Anspruch 2, 

bei dem die zu verifizierende Digitalschaltung in 
Form zweier Netzlisten beschrieben ist. 

4. Verfahren nach Anspruch 2, 

bei dem die zu verifizierende Digitalschaltung in 
Form einer Netzliste und mit Hilfe einer Hard- 
ware-Beschreibungssprache beschrieben ist. 

5. Verfahren nach Anspruch 1, 

bei dem die datenverarbeitenden Systeme Kom- 
munikationsprotokolle sind. 

6. Verfahren nach Anspruch 1 , 

bei dem die datenverarbeitenden Systeme Com- 
puterprogramme sind. 

7. Verfahren nach Anspruch 1 , 

bei dem die datenverarbeitenden Systeme Mikro- 
programme sind. 



Claims 

1. Procedure for verifying data-processing sys- 
tems, in which 

a) two descriptions, generated independently 
of one another, of a system to be verified are 
represented as Mealy automata and are com- 
pared with one another; 

b) the comparison is carried out with the aid 
of a fixed-point iteration procedure which ini- 
tially generates the set MO of all state pairs 
which generate at least one different output 
value for at least one set of input values, and 
iteratively extends this set MO by the set of all 
state pairs which, in a finite number of steps 
of the two Mealy automata, lead to a state pair 
which belongs to the set MO, until the fixed- 
point set M of all non-equivalent state pairs is 
generated, the two Mealy automata being 
equivalent when their initial states or the state 
pairs formed from these states do not belong 
to the fixed-point set M; 

c) equivalence relations between states, out- 
put and transition functions of the two Mealy 
automata are represented by binary decision 
diagrams; and 

d) in each step of the fixed-point iteration, only 
boolean operations and substitutions are ap- 
plied to binary decision diagrams. 
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2. Procedure according to Claim 1, in which the 
data-processing systems are digital circuits. 

3. Procedure according to Claim 2, in which the dig- 
ital circuit to be verified is described in the form s 
of two network lists. 

4. Procedure according to Claim 2, in which the dig- 
ital circuit to be verified is described in the form 

of a network list with the aid of a hardware de- w 
scription language. 

5. Procedure according to Claim 1, in which the 
data-processing systems are communication 
protocols. 15 

6. Procedure according to Claim 1, in which the 
data- processing systems are computer pro- 
grams. 

20 

7. Procedure according to Claim 1, in which the 
data-processing systems are microprograms. 

Revendications 25 

1. Procede de verification de systemes de traite- 
ment de donnees, selon lequel 

a) on represente deux descriptions, etablies 
independamment Tune de I'autre, d'un syste- 30 
me a verifier sous la forme d'automates de 
Mealy et on les compare entre elles; 

b) on effectue la comparaison a I'aide d'un 
precede d'iteration a point fixe, qui fourntttout 
d'abord I'ensemble MO de toutes les paires 35 
d'etats, qui produisent au moins une vateur 
initiale differente pour au moins un ensemble 

de valeurs d'entree, et augmente de fagon ite- 
rative cet ensemble MO, de I'ensemble de 
toutes les paires d'etats, qui conduisent, en 40 
un nombre eleve f ini d'etapes des deux auto- 
mates de Mealy, a une paire d'etats qui appar- 
tient a I'ensemble MO, jusqu'a ce que I'en- 
semble M a point fixe de toutes les paires 
d'etats non equivalentes soit obtenue, les 45 
deux automates de Mealy etant Equivalents 
lorsque leurs etats initiaux ou les paires 
d'etats, fornixes a partir de ces etats, n'ap- 
partiennent pas a I'ensemble a point fixe M; 

c) on represente des relations d'equivalence so 
entre des etats, des fonctions de sortie et des 
fonctions de transfert des deux automates de 
Mealy par des diagrammes de decision binai- 

res; et 

d) lors de chaque etape de Titration a point 55 
fixe, on applique exclusivement des opera- 
tions booieennes et des substitutions a des 
diagrammes de decision binaires. 



2. Procede suivant la revendication 1, selon lequel 
les systemes de traitement de donnees sont des 
circuits numeriques. 

3. Procede suivant la revendication 2, selon lequel 
le circuit numerique a verifier est decrit sous la 
forme de deux listes de reseau. 

4. Procede suivant la revendication 2, selon lequel 
le circuit numerique a verifier est decrit sous la 
forme d'une liste de reseau et a I'aide d'un langa- 
ge de description materiel. 

5. Proced§ suivant la revendication 1, selon lequel 
les systemes de traitement de donnees sont des 
protocoles de communication. 

6. Procede suivant la revendication 1, selon lequel 
les systemes de traitement de donnees sont des 
programmes d'ordinateurs. 

7. Procede suivant la revendication 1, selon lequel 
les systemes de traitement de donnees sont des 
microprogrammes. 



8 



EP 0 580 663 B1 



System - 
Beschreibung 1 



System - 
Beschreibung 2 



Erzeugung der 
Anfangsrelation 
MO 



Fixpunkt - Iteration 
M(i )-— M(i+1 ) 



nein 




nem 



System - 
Beschreibungen 
Equivalent 



Anfangszu- 
stande in M ent 
halten 



STOP 



System- 
Beschreibungen 
nicht aquivalent 



